Blog

Cookies : Les lignes directrices et recommandations de la CNIL

En 2019, la CNIL a adopté des lignes directrices relatives aux cookies et aux traceurs qui seront par la suite ajustées en 2020 afin de les clarifier. La CNIL établira donc un projet de recommandation qui servira de guide pratique destiné à aider les responsables des sites web à être conforme.

Historiquement, les cookies ont été gérés sous le système de l’opt-out, c’est à dire les cookies sont acceptés par défaut. La règle est désormais à l’opt-in, c’est à dire que l’utilisateur doit accepter explicitement les cookies. Cela signifie que la bannière du type : « en poursuivant votre navigation sur ce site, vous acceptez nos cookies » n’est plus conforme aux règles actuelles.

Il convient donc de rappeler les principales règles et recommandations mises en œuvre par la CNIL et introduire un example de bannière de consentement conforme de Cookie Information. Pour rappel, les cookies sont des petits fichiers stockés dans la mémoire des ordinateurs, gérés par les responsables d’application et permettant de conserver une trace des actions de l’utilisateur du terminal sur cette application.

Les recommandations de la CNIL

Les recommandations de la CNIL sont non contraignantes, leur unique objectif est d’offrir une traduction concrète des directives de la CNIL.

L’obligation d’informer

Le dépôt de cookies/traceurs n’est possible que lorsque la personne responsable du site web ou de l’application dispose du consentement de l’utilisateur informé des cookies. Les informations doivent donc être communiquées à l’utilisateur avant le dépôt des cookies nécessitant un consentement (Art.2 de la Délibération).

L’article 82 de la loi Informatique et Libertés dispose que : « tout abonné ou utilisateur d’un service de communication électronique doit être informé de manière claire et complète (…) ». Voici les éléments à fournir dans la bannière de cookies pour obtenir des informations « claires et complètes »: 

  • Le nom de chaque cookie/traceur utilisé
  • Une liste des responsables du traitement, régulièrement mise à jour
  • Les finalités d’usages des traceurs, une première description peut être limitée à une brève présentation des objectifs des traceurs, puis dans un second temps une description plus détaillée peut être fournie.
  • Les destinataires des données. Il convient d’informer l’utilisateur de toutes les entités ayant recours aux traceurs et donc à cet effet de lui fournir une liste complète et à jour.
  • La durée de vie des cookies, ou alors les critères pour déterminer cette durée
  • La possibilité et les moyens de s’opposer aux traceurs. La CNIL recommande une demande de consentement effectué par un moyen de cases à cocher, et décochées par défaut.
  • La possibilité et les moyens de demander leur retrait sans subir d’inconvénient.

Le caractère du consentement

D’après la CNIL, les organismes exploitants des traceurs doivent être en mesure de fournir la preuve de recueil valable du consentement libre, spécifique, éclairé, et univoque de l’utilisateur. Un consentement doit donc présenter les caractéristiques suivantes: 

Libre : Un consentement doit être donné librement, c’est un choix réel, libre et non influencé.

Spécifique : L’utilisateur doit donner un consentement spécifique pour chaque finalité pour lesquelles il consente au traitement de ses données.

Éclairé : L’utilisateur doit être informé en des termes clairs et compréhensibles sur chaque cookie individuel avec qui les données sont partagées, et sur les raisons pour lesquelles le responsable veut collecter les données.

Univoque : Un consentement doit résulter d’une manifestation de volonté, c’est-à-dire qu’aucune ambiguïté quant à l‘expression du consentement ne doit demeurer.

Il est nécessaire d’obtenir le consentement avant tout accès aux informations présentes dans le terminal de l’utilisateur et de stockage sur ce dernier, sauf exceptions. Il est également important de souligner que le silence de l’utilisateur, qui peut passer par la simple poursuite de la navigation, doit désormais s’interpréter comme un refus.

Rappel : Une case pré-cochée par défaut ne constitue pas un acte positif clair et dès lors ne peut être valable puisqu’il faut décocher la case pour refuser de donner son consentement. Le consentement nécessite une manifestation de volonté induisant un comportement actif.

Exceptions au recueil du consentement préalable

Il est évident que ces obligations, qui ont vocation à s’appliquer aux cookies présentant un risque à la vie privée (cookies de publicité ciblée), ne s’appliquent pas aux cookies strictement ‘techniques’, donc indispensables à la navigation. Ces traceurs ne nécessitent pas de consentement des utilisateurs mais il est nécessaire d’informés de leurs utilisations et rappeler que des réglages sont possibles mais avec des effets potentiellement négatifs au fonctionnement du site. 

Qu’est-ce que cela signifie concrètement ?

Le refus des traceurs

Selon la CNIL, pour recueillir un consentement valide, les utilisateurs doivent pouvoir choisir entre deux boutons présents au même niveau et sur le même format. Les boutons doivent contenir « tout accepter » et « tout refuser » et les choix des utilisateurs doivent être conservés lors de la consultation du site. L’objectif est de fournir aux utilisateurs un moyen clair et simple pour leur permettre d’exercer ses choix avec le même niveau de simplicité. 

Le retrait du consentement

L’utilisateur doit pouvoir retirer son consentement facilement et à tout moment, c’est-à-dire qu’il puisse revenir sur ces choix si l’utilisateur souhaite modifier le consentement qu’il a partagé. Cela peut se faire à l’aide d’un lien en pied de page accessible à tout moment.

La conservation et la documentation des consentements

La CNIL recommande de conserver pendant une certaine durée les consentements aux traceurs, mais également les refus des utilisateurs. Les responsables de la collecte des consentements doivent être en mesure de documenter à tout temps les consentements et les refus des utilisateurs. De plus, le fait de conserver les consentements évite de réinterroger l’utilisateur à chacune de ses visites. La CNIL propose une durée de conservation de six mois.

Des exemples de bannière de consentement conforme

La CNIL propose ici un exemple de bannière de consentement conforme, permettant d’assurer le recueil d’un consentement valide de l’utilisateur.

Vous pouvez aussi consulter ci-dessous la bannière de consentement de Cookie Information. Cookie Information est une entreprise danoise leader dans les pays nordiques, elle se base sur les ligne directrices de la CNIL et du RGPD pour aider les entreprises à créer et à maintenir leur bannière de consentement aux cookies, ainsi qu’a collecter et documenter les consentements des visiteurs conformément à la loi.

Dans cette bannière de consentement, l’utilisateur a le choix d’accepter ou de refuser en un seul clic les cookies/traceurs. De plus, l’utilisateur peut personnaliser ces choix puisqu’un consentement doit être spécifique pour chaque cookie/traceur. 

N’hésitez pas à tester la plateforme de Cookie Information gratuitement pendant 30 jours. La plateforme analyse votre site pour vous indiquer quels cookies sont utilisez, de plus, vous pouvez utiliser notre bannière de consentement régulièrement mise à jour et conforme aux réglementations. Pour plus d’informations, vous pouvez également écrire à

 

sarah@cookieinformation.com 

Sarah Richo est conseillère à la protection des données en ligne chez Cookie Information. Suivez-la sur LinkedIn et inscrivez-vous à ses webinaires sur le site officiel de Cookie Information.

 

Références

Facebook
Twitter
LinkedIn
Email

Le meilleur Consent Manager pour entreprises et organisations

250,000 sites web nous ont déjà confié leur mise en conformité RGPD